個人情報保護法
第1 個人情報保護法のキーワード
1 個人情報とは
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
2 個人情報データベース等
個人情報を含む情報の集合体であって、パソコンなどで検索できるように体系的に構成されているものや、特定の個人情報を容易に検索できるように 体系的に構成したもの
3 個人情報取扱事業者
個人情報データベース等を事業の用に供している者
4 個人データ
個人情報データベース等を構成する個人情報
5 保有個人データ
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行う権限を有する個人データであって、 その存否が明らかになることにより、公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間(6か月)内に 消去することとなるもの以外のもの
6 具体例(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン等参照)
○ 個人情報に該当する事例
・ 防犯カメラに記録された情報など本人が判別できる映像情報
・ 特定の個人を識別できるメールアドレス情報(keizai-ichiro@meti.go.jpなどのようにメールアドレスだけの情報であっても、
日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)
・ 官報・電話帳、職員録等で公にされている情報(本人の氏名等)
○個人情報に該当しない事例
・ 企業の財務情報等、法人等団体そのものに関する情報(団体情報)
・ 記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@ispisp.jp。ただし、
他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
・ 特定の個人を識別することができない統計情報
○ 個人情報データベース等に該当する事例
・ 従業員が、名刺の情報を業務用パソコン(所有者を問わない)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる
状態にしている場合
・ 氏名、住所、企業別に分類されている市販の人名録
○個人情報データベース等に該当しない事例
・ 従業員が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を
分類した状態である場合
・ アンケートの戻りはがきで、氏名、住所等で分類整理されていない状態である場合
○ 個人情報取扱事業者にあたらない者(取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者)
・ 個人情報データベース等を構成する個人情報によって識別される「特定の個人の数」の合計が過去6ヶ月以内のいずれの日においても5000人
を超えない者。なお、事業の用に供する個人情報データベース等が、@他人の制作によるもので、A氏名、住所又は電話番号のみを含んでおり、
B新に個人情報を加えたり、他の個人情報を付加したりして、データベースそのものを変更するようなことをしない場合は、その個人情報データベース
等に含まれる個人の数は、「特定の個人の数」には算入しない。
「特定の個人の数」に算入しない例
・ 電話会社より提供された電話帳および市販の電話帳CD−ROM等に掲載されている氏名及び電話番号
・ 市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ
事業の用に供しないため「特定の個人の数」に算入しない事例
・ 倉庫業、データセンター(ハウジング、ホスティング)等の事業において当該情報が個人情報に該当するかどうかを認識することなく
預かっている場合に、その情報中に含まれる個人情報
第2 個人情報取扱事業者の義務(法第4条)
1 概要
@ 入手規制(個人情報を入手する段階のルール)
A 取扱規制(個人情報を取り扱う段階のルール)
B 情報セキュリティ(個人データ管理のルール)
C 第三者提供(個人データを第三者に提供する時のルール)
D 情報主体への対応(本人の要求に対応するルール)
2 入手規制(個人情報を入手する段階のルール)
(1)適正な取得(第17条)
偽りその他不正の手段により個人情報を取得してはならない。
例:ハッキング、社名を偽って取得、目的を偽って取得、子供を騙して取得
犯罪による取得等
(2)取得に際しての利用目的の通知等(第18条)
情報主体から書面または電磁的方法で直接取得する場合は、緊急的例外を
除いてあらかじめ本人に対して利用目的を明示しなければならない。
その他の場合は、取得後速やかに通知または公表を行わなければならない。
例:直接取得の場合は、アンケート用紙に明示、webページに明示
「通知」文書の郵送、電話、電子メール
「公表」インターネット上の公表、パンフレットの配布、事業所の窓口等への
書面の掲示、備付け
(3)通知・公表が不要な場合
直接取得の場合
人の生命、身体又は財産の保護のために緊急に必要がある場合
通知・公表の場合
@利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、
身体、財産その他の権利利益を害するおそれがある場合
A利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業
者の権利又は正当な利益を害するおそれがある場合
B国の機関又は地方公共団体が法令の定める事務を遂行することに対して協
力する必要がある場合であって、利用目的を本人に通知し、 又は公表するこ
とにより当該事務の遂行に支障を及ぼすおそれがある場合
C取得の状況からみて利用目的が明らかであると認められる場合
3 取扱規制(個人情報を取り扱う段階のルール)
(1)利用目的の特定(第15条)
【例(ガイドライン参照)】
○ 具体的に利用目的を特定している事例
・ 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関
する情報のお知らせのために利用いたします。」
・ 「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」
・ 情報処理サービスを行っている事業者の場合であれば、「給与計算処理サービス、
あて名印刷サービス、伝票の印刷・発送サービス等の情報処理 サービスを業として
行うために、委託された個人情報を取り扱います。」のようにすれば利用目的を特定
したことになる。
○ 具体的に利用目的を特定していない事例
・ 「事業活動に用いるため」、「提供するサービスの向上のため」、「マーケティング活動
に用いるため」
(2)利用目的変更と通知・公表(第15条2項、第18条2項)
変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で変更可
能
変更後の通知・公表が必要
(3)利用目的の制限、目的外利用の禁止(第16条)
あらかじめ本人の同意を得れば、目的外利用も可能
同意がない場合は、特定された利用目的に必要な範囲を超えて個人情報を扱っ
てはならない。
例外:@法令の除外事由があるとき
A人の生命、身体又は財産の保護のために必要がある場合であって、
本人の同意を得ることが困難であるとき
B公衆衛生の向上又は児童の健全な育成の推進のために特に必要が
ある場合で本人の同意を得ることが困難であるとき
C国の機関もしくは地方公共団体又はその委託を受けた者が法令の定
める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれが
あるとき
(4)データ内容の正確性の確保(第19条)
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に
保つよう努めなければならない。
4 情報セキュリティ(個人データ管理のルール)
(1)情報セキュリティ義務
@取り扱う個人データの漏洩、滅失又は毀損の防止、その他個人データ安全管理
のために必要かつ適切な措置を講じなければならない(第20条)
A個人データの安全管理が図られるよう、個人データを取り扱わせる当該従業者
に対して必要かつ適切な監督を行わなければならない(第21条)
B個人データの取扱の全部又は一部を委託する場合は、委託した個人データの
安全管理が図られるよう、委託を受けた者に対して必要かつ適切な監督 を行わ
なければならない(第22条)
(2)大臣の監督権発動の要件
報告→助言→勧告→命令→罰則
(3)経済産業省のガイドライン
組織的安全管理措置:安全管理について従業者(第21条参照)の責任と権限
を明確に定め、安全管理に対する規程や手順書(以下規程等という)を整備運
用し、その実施状況を確認すること。具体的には、組織体制の整備、規程等の
整備と規程等に従った運用、個人データ取扱台帳の整備、評価、見直し及び改
善、事故又は違反への対処など。
人的安全管理措置:従業者に対する、業務上秘密と指定された個人データの
非開示契約の締結や、教育・訓練などの措置。
物的安全管理措置:入退館(室)の管理、個人データの盗難の防止対策、機器
・装置等の物理的な保護などの措置。
技術的安全管理措置:個人データ及びそれを取り扱う情報システムへのアク
セス制御、不正ソフトウェア対策、情報システムの監視など、個人データに対す
る技術的な安全管理措置。具体的には、アクセスにおける識別と認証、アクセス
権限の管理、アクセスの記録、情報システムに対する不正ソフトウェア対策、移
送・通信時の対策、情報システムの動作確認、情報システムの監視など。
(4)委託先の監督
「必要かつ適切な監督」(第22条)とは、委託契約において、当該個人データの取
扱いに関して、必要かつ適切な安全管理措置として、 委託者、受託者双方が同意
した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらか
じめ定めた間隔で確認することも 含まれる。
【例(ガイドライン参照)】
○ 受託者に必要かつ適切な監督を行っていない場合
・ 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず
外部の事業者に委託した場合で受託者が個人データを漏えいした場合。
・ 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結
果、受託者が個人データを漏えいした場合。
・ 再委託の条件に関する指示を受託者に行わず、かつ、受託者が個人データの処理
を再委託し、結果、再委託先が個人データを漏えいした場合。
○ 個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項
・ 委託者及び受託者の責任の明確化
・ 個人データの安全管理に関する事項
個人データの漏えい防止、盗用禁止に関する事項
委託契約範囲外の加工、利用の禁止
委託契約範囲外の複写、複製の禁止
委託契約期間
委託契約終了後の個人データの返還・消去・破棄に関する事項
・ 再委託に関する事項
再委託を行うに当たっての委託者への文書による報告
・ 個人データの取扱状況に関する委託者への報告の内容及び頻度
・ 契約内容が遵守されていることの確認
・ 契約内容が遵守されなかった場合の措置
・ セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
5 第三者提供(個人データを第三者に提供する場合のルール)
(1)第三者提供の制限(第23条)
原則として個人データを第三者に提供してはならない。
【例(ガイドライン参照)】
○ 第三者提供とされる事例
・ 親子兄弟会社、グループ会社の間で個人データを交換する場合
・ フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
・ 同業者間で、特定の個人データを交換する場合
・ 外国の会社に国内に居住している個人の個人データを提供する場合
○ 第三者提供とされない事例
・ 同一事業社内で他部門へ個人データを提供すること
(2)例外1:本人の同意
(3)例外2: @法令に基づく場合
A人の生命、身体又は財産の保護のために必要がある場合であって、
本人の同意を得ることが困難であるとき
B公衆衛生の向上又は児童の健全な育成の推進のために特に必要が
ある場合で本人の同意を得ることが困難であるとき
C国の機関もしくは地方公共団体又はその委託を受けた者が法令の定
める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれ
があるとき。尚、例外にあたることの立証責任は、第三者提供を行っ
た個人情報取扱事業者が負う。
(4)例外3:オプトアウト
以下の各号をあらかじめ本人に通知し、または本人が容易に知りうる状態に
置いたうえ、本人が求めれば第三者提供を停止することに しているとき
@第三者への提供を利用目的とすること
A第三者に提供される個人データの項目
B第三者への提供の手段又は方法
C本人の求めに応じて当該本人が識別される個人データの第三者への提供
を停止すること
【例(ガイドライン参照)】
○ オプトアウトの事例
・ 住宅地図業者(表札や郵便受けを調べて住宅地図を作成し、販売)(不特定多数へ
の第三者提供)
・ データベース事業者(ダイレクトメール用の名簿等を作成し、販売)
(5)例外4:外部委託(但し、前記4(4)の監督義務あり)、合併その他の事業承継が
行われる場合、一定条件下の共同利用
【例(ガイドライン参照)】
○ 外部委託の事例
・ データの打ち込み等、情報処理を委託するために個人データを渡す場合
・ 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを渡す場合
○ 共同利用を行うことがある事例
・ グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共
同利用する場合
6 情報主体への対応(本人の要求に対応するルール)
(1)概要
@保有個人データに関する事項を本人の知りうる状態に置くこと
A例外を除き、本人からの請求に応じて、目的を通知し、保有個人データの存否
及び内容を開示する義務
B事実と異なる保有個人データの訂正、追加または削除の義務
C保有個人データを不正入手し、または目的外利用しているときは、保有個人
データの利用停止または消去の義務
D第三者提供禁止の原則に反しているときは、第三者提供を停止する義務
ポイント
義務を負う対象は、保有個人データのみである(個人情報データベース等を構成
する個人データで、当該事業者が開示、訂正等全ての権限を有し、 かつ一定期
間以内に消去するもの以外)。
本人確認方法のルール作り
権利行使の方法と保有個人データ特定の方法のルール作り
顧客対応システム作りと対応者の教育
裁判を見据えた対応(義務履行の証拠化、書面化)
(2)保有個人データに関する事項の公表(第24条)
以下の事項を本人の知りうる状態(本人の求めに応じて遅滞なく回答する)におか
なければならない。
@当該個人情報取扱事業者の氏名又は名称
A全ての保有個人データの利用目的
B当該本人が識別される保有個人データの利用目的の通知、保有個人データ
の開示、保有個人データの内容の訂正、追加又は削除 (以下、訂正等)、保有
個人データの利用の停止又は消去(以下、利用停止等)保有個人データの第三
者提供の停止手続を求める手続(手数料の額も)
C前3号以外で政令で定めるもの(苦情の申出先等)
例:インターネット上での公表、パンフレットの配布、事業所の窓口等への書
面の掲示、備付け、電話窓口の設置
(3)利用目的の通知(第24条2項・3項)
本人から、利用目的の通知を求められたときは、遅滞なく通知しなければならない
。
例外
@前項の規定により当該本人が識別される保有個人データの利用目的が明ら
かな場合
A第18条4項1号から3号までに該当する場合(取得規制の例外)
(4)開示(第25条)
本人から、その人に関する保有個人データの開示を求められたときは、本人に対
し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければな
らない。
例外
@本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあ
る場合
A当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれ
がある場合(評価等が含まれている人事情報や試験の成績等、 第三者取得の
場合であって公表することにより第三者の信頼を著しく損ない業務の実施に著し
い支障を及ぼす場合、単なる業務の支障は含まない)
B他の法令に違反することになる場合(医師、弁護士)
尚、例外は厳格に判断される。
(5)訂正等(第26条)
本人から、保有個人データの内容が事実でないという理由でその保有個人データ
の訂正等を求められた場合、利用目的に必要な範囲内において、 遅滞なく必要
な調査を行い、その結果に基づき当該保有個人データの内容の訂正等を行わな
ければならない。
尚、訂正等の場合は手数料を徴収できない。
(6)利用停止等(第27条1項・2項)
本人から、保有個人データが第16条の利用目的の制限に違反して取り扱われて
いるという理由、または第17条の適正取得に違反して 取得されたものであるとい
う理由によって、その保有個人データの利用停止等を求められた場合、その求め
に理由があるときは、違反を 是正するために必要な限度で、遅滞なく、その保有
個人データの利用停止等を行わなければならない。
例外:利用停止等に多額の費用がかかる場合等利用停止が困難で、本人の権利
利益保護のため代替措置をとる場合
(7)利用停止等請求への対応(第27条3項)
利用停止等の可否、第三者提供停止の可否を決定したときは、遅滞なくその旨を
本人に通知しなければならない。
(8)理由の説明
本人の請求をうけたものの、その全部または一部の措置をとらない旨の通知する
場合、またはその措置と異なる措置をとる旨を通知する場合、 本人に対し、その
理由を説明するよう努めなければならない。
(9)開示等の求めに応じる手続(第29条)
本人からの開示等の求めに対し、政令で定めるところにより受け付け方法を定め
ることができる。本人は、これに従わなければならない。
政令:
@開示等の求めの申出先
A開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方
法
B開示等の求めをする者が本人又は次条に規定する代理人であることの確認
方法
(代理人:未成年者又は成年被後見人の法定代理人、開示等の求めに関し本
人が委任した代理人)
C法第30条第1項の手数料の徴収方法
(10)手数料(第30条)
第24条2項の通知、第25条1項の開示の請求を実施する場合、手数料を徴収
することができる。これ以外は、手数料は徴収できない。
(11)個人情報取扱事業者による苦情の処理(第31条)
必要な体制を整備して、個人情報の取扱いに関する苦情の適切かつ迅速な処
理に努めなければならない。
【参考資料・文献】
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン そ
の他個人情報保護ガイドライン等概要資料(経済産業省ホームページ)
渡部喬一著『個人情報保護法のしくみと実務対応』(日本実業出版社)
稲垣隆一ほか著『個人情報保護法と企業対応[新版]』(清文社)
